ISO 27002:2022, בקרה 6.3. מודעות, חינוך והדרכה לאבטחת מידע מכסה את הצורך של עובדי ארגון בקבלת מודעות, חינוך והכשרה מתאימים לאבטחת מידע, בתוספת עדכונים שוטפים של מדיניות אבטחת המידע של הארגון, במיוחד כאשר היא חלה על תפקידם בתפקיד.
מודעות לאבטחת מידע, חינוך והדרכה (מודעות לאבטחת IT) הוא תהליך ליידע את המשתמשים על החשיבות של אבטחת מידע ועידודם לשפר את הרגלי אבטחת המחשב שלהם.
יש להודיע למשתמשים על האבטחה סיכונים שיכולים לנבוע מפעילותם וכיצד הם יכולים להגן על עצמם מפני סיכונים אלו.
מודעות, חינוך והכשרה לאבטחת מידע הם מרכיבים קריטיים להצלחתו של כל ארגון. זה קריטי שכל העובדים יבינו את החשיבות של אבטחת מידע וכיצד היא משפיעה על כולם.
ככל שהעובדים יבינו יותר כיצד להגן על עצמם מפני איומי סייבר, כך הארגון שלך יהיה בטוח יותר.
ניתן לקבץ פקדים באמצעות תכונות. כאשר אתה מסתכל על תכונות הבקרה, אתה יכול בקלות רבה יותר לקשר אותה לדרישות התעשייה והטרמינולוגיה המבוססת. התכונות הבאות נמצאות בשליטה 6.3.
סוג הבקרה | מאפייני אבטחת מידע | מושגי אבטחת סייבר | יכולות מבצעיות | תחומי אבטחה |
---|---|---|---|---|
#מוֹנֵעַ | #סודיות #יושרה #זמינות | #לְהַגֵן | #אבטחת משאבי אנוש | #ממשל ומערכת אקולוגית |
מטרת בקרה 6.3 היא להבטיח שאנשי צוות ובעלי עניין רלוונטיים מודעים ומקבלים הכשרה מתאימה למילוי אחריותם לאבטחת המידע.
בקרה 6.3 מכסה מגוון של פעילויות המסייעות להבטיח שלאנשים יהיו הידע והמיומנויות הנדרשות כדי לפעול בתוך הארגון אבטחת מידע מִסגֶרֶת. המוקד העיקרי של זה השליטה היא על פעילויות להעלאת מודעות לגבי חשיבות אבטחת המידע, עידוד פרקטיקה טובה וקידום ציות למדיניות ונהלים רלוונטיים.
מודעות, חינוך והכשרה לאבטחת מידע הם מרכיב קריטי באסטרטגיית ניהול הסיכונים הכוללת של הארגון ויש להתייחס אליהם כחלק בלתי נפרד ממדיניות האבטחה של הארגון.
בקרה 6.3 מגדירה את הצורך של ארגונים לקיים תוכנית מודעות לאבטחת מידע המספקת לכל העובדים את הידע והמיומנויות הדרושים כדי להגן על נכסי מידע. הוא מספק הנחיות לגבי מה צריך להיכלל בתוכנית מודעות אפקטיבית.
לדוגמה, ייתכן שהארגון יצטרך להקים הדרכה למודעות אבטחה לפחות מדי שנה, או כנדרש בהערכת הסיכונים, לכל העובדים והקבלנים שהוקצו להם תפקידים בהם יש להם גישה לנכסי מידע רגיש או סוגים אחרים של מידע. מערכות המאחסנות, מעבדות או משדרות נתונים רגישים.
הדרישה לבקרה 6.3 היא שלארגון צריך להיות תהליך כדי להבטיח שהעובדים מקבלים הכשרה נאותה כיצד לבצע את חובותיהם בעבודה בצורה בטוחה ומאובטחת. אינו מתפשר על אבטחת המידע. ניתן להשיג זאת באמצעות אימונים. ניתן להשיג זאת גם באמצעות משאבים מקוונים כגון סרטונים או סמינרים מקוונים.
יש לפתח את תוכניות המודעות, החינוך וההכשרה לאבטחת מידע בהתאם למדיניות אבטחת המידע של הארגון, מדיניות ספציפית לנושא ונהלי אבטחת מידע רלוונטיים. כמו כן, יש לקחת בחשבון את המידע של הארגון שיש להגן ואת בקרות אבטחת המידע המיושמות כדי להגן עליו. זה צריך לקרות מעת לעת.
מודעות היכרות, חינוך והכשרה יכולים לחול על עובדים חדשים כמו גם על אלה שעוברים לתפקידים או משימות חדשות דורשים רמות שונות משמעותית של אבטחת מידע.
קמפיין המודעות צריך לשלב מגוון פעילויות להעלאת המודעות. זה כולל קמפיינים, חוברות, פוסטרים, ניוזלטרים, אתרי אינטרנט, מפגשי מידע, תדרוכים, מודולי למידה אלקטרונית ודואר אלקטרוני.
על פי בקרה 6.3, תוכנית זו צריכה לכסות:
ISO 27002: 2022 אינו שליטה חדשה לחלוטין. גרסה זו של ISO 27002, שפורסמה בפברואר 2022, היא עדכון לגרסה הקודמת, שפורסמה בשנת 2013. כתוצאה מכך, פקד 6.3 ב-ISO 27002:2022 אינו פקד חדש לגמרי. זוהי גרסה ששונתה מעט של בקרה 7.2.2 ב-ISO 27002:2013.
פקד 7.2.2 ב-ISO 27002:2013 אינו כולל טבלת תכונות או הצהרת מטרה, הנכללים בבקרה 6.3 של גרסת ISO 27002:2022.
לאחר שאמרנו זאת, מלבד השינוי במספר הבקרה, אין הבדל נוסף שניתן להבחין בין שני הפקדים. למרות העובדה שהביטוי של שני הפקדים שונה, המהות וההקשר של שני הפקדים זהים בעצם.
השפה ב-control 6.3 נוצרה כדי להיות יותר ידידותית למשתמש, כך שאנשים שישתמשו בתקן יוכלו להתייחס טוב יותר לתוכן שלו.
התשובה לשאלה זו תלויה בארגון שלך. בארגונים רבים, תוכניות המודעות, החינוך וההדרכה לאבטחת מידע מנוהלות על ידי צוות האבטחה. בארגונים אחרים, זה מטופל על ידי מחלקת משאבי אנוש או פונקציה אחרת.
הדבר החשוב הוא לוודא שמישהו אחראי ליצירה ויישום של תוכנית המודעות לאבטחה של הארגון שלך. אדם או מחלקה אלו צריכים להיות גם בפיקוח של מנהל אבטחת המידע (אם אדם אחר אחראי על תפקיד זה).
אדם זה צריך להיות בעל הבנה טובה של אבטחת מידע ולהיות מסוגל לתקשר עם עובדים על נושאים שונים הקשורים לשיטות עבודה מומלצות לאבטחה. אדם זה אמור להיות מסוגל גם לפתח תוכן עבור תוכניות ההדרכה שלך ולקיים מפגשי הדרכה קבועים לעובדים.
חשוב להבין שאבטחת מידע היא לא רק באחריות ה-IT. זו אחריות של כולם. לארגונים צריך להיות צוות של אנשים שאחראים לאבטחה, אבל הם גם צריכים לוודא שכולם מבינים את החשיבות של סודיות ויושרה.
אתה לא צריך לעשות הרבה כי ISO 27002: 2022 אינו תקן חדש אלא גרסה של גרסת 2013. לכן צפוי שרוב הארגונים לא יצטרכו לבצע שינויים.
עם זאת, אם כבר יישמת את גרסת 2013 של ISO 27002, תצטרך להעריך אם השינויים האלה רלוונטיים לארגון שלך. תצטרך גם לבדוק את תהליכי האבטחה שלך אם כן תכנון הסמכת ISMS. זה יבטיח שהתהליכים שלך תואמים לתקן הנבדק.
מדריך ISO 27002:2022 שלנו, הזמין להורדה בחינם באתר שלנו, מכיל מידע נוסף על האופן שבו ה-ISO 27002 החדש עשוי להשפיע על פעולות אבטחת המידע שלך ISO 27001 הסמכה.
ISMS.Online הוא פתרון מלא ליישום ISO 27002. זוהי מערכת מבוססת אינטרנט המאפשרת לך להראות שמערכת ניהול אבטחת המידע שלך (ISMS) תואמת עם הסטנדרטים המאושרים תוך שימוש בתהליכים, נהלים ורשימות ביקורת מחושבים היטב.
זוהי לא רק פלטפורמה קלה לשימוש לניהול יישום ISO 27002 שלך, אלא גם כלי מצוין להכשרת הצוות שלך על שיטות עבודה ותהליכים מומלצים של אבטחת מידע, כמו גם תיעוד כל המאמצים שלך.
השמיים יתרונות השימוש ב-ISMS.באינטרנט:
ISMS.Online מפשטת את תהליך הטמעת ISO 27002 על ידי אספקת כל המשאבים, המידע והכלים הדרושים במקום אחד. זה מאפשר לך לבדוק שה-ISMS שלך עומד בתקן עם לחיצות ספורות של העכבר, שאחרת ייקח זמן רב אם נעשה באופן ידני.
רוצים לראות את זה בפעולה?
צור קשר עוד היום כדי הזמן הדגמה.
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
5.7 | חדש | אינטליגנציה מאיימת |
5.23 | חדש | אבטחת מידע לשימוש בשירותי ענן |
5.30 | חדש | מוכנות ICT להמשכיות עסקית |
7.4 | חדש | ניטור אבטחה פיזית |
8.9 | חדש | ניהול תצורה |
8.10 | חדש | מחיקת מידע |
8.11 | חדש | מיסוך נתונים |
8.12 | חדש | מניעת דליפת נתונים |
8.16 | חדש | פעילויות ניטור |
8.23 | חדש | סינון אינטרנט |
8.28 | חדש | קידוד מאובטח |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
6.1 | 07.1.1 | סריקה |
6.2 | 07.1.2 | תנאי העסקה |
6.3 | 07.2.2 | מודעות, חינוך והדרכה לאבטחת מידע |
6.4 | 07.2.3 | תהליך משמעתי |
6.5 | 07.3.1 | אחריות לאחר סיום או שינוי עבודה |
6.6 | 13.2.4 | הסכמי סודיות או סודיות |
6.7 | 06.2.2 | עבודה מרחוק |
6.8 | 16.1.2, 16.1.3 | דיווח על אירועי אבטחת מידע |
מזהה בקרה ISO/IEC 27002:2022 | ISO/IEC 27002:2013 מזהה בקרה | שם בקרה |
---|---|---|
7.1 | 11.1.1 | היקפי אבטחה פיזית |
7.2 | 11.1.2, 11.1.6 | כניסה פיזית |
7.3 | 11.1.3 | אבטחת משרדים, חדרים ומתקנים |
7.4 | חדש | ניטור אבטחה פיזית |
7.5 | 11.1.4 | הגנה מפני איומים פיזיים וסביבתיים |
7.6 | 11.1.5 | עבודה באזורים מאובטחים |
7.7 | 11.2.9 | שולחן כתיבה ברור ומסך ברור |
7.8 | 11.2.1 | מיקום ומיגון ציוד |
7.9 | 11.2.6 | אבטחת נכסים מחוץ לשטח |
7.10 | 08.3.1, 08.3.2, 08.3.3, 11.2.5 | אחסון מדיה |
7.11 | 11.2.2 | כלי עזר תומכים |
7.12 | 11.2.3 | אבטחת כבלים |
7.13 | 11.2.4 | תחזוקת ציוד |
7.14 | 11.2.7 | סילוק מאובטח או שימוש חוזר בציוד |